Kombainas APT

Išsami informacija apie anksčiau nežinomą APT (Advanced Persistent Threat) grupę buvo atskleista naujoje grėsmių tyrinėtojų ataskaitoje. Įsilaužėlių grupė stebima kaip „Harvester“, o jos aptiktos grėsmingos operacijos susideda iš šnipinėjimo atakų prieš taikinius Pietų Azijoje, daugiausia Afganistane. Tikslinės korporacijos yra iš kelių skirtingų pramonės sektorių, įskaitant vyriausybę, telekomunikacijas ir IT. Dėmesys Afganistanui ypač įdomus, turint omeny svarbiausius pastarojo meto įvykius, tokius kaip JAV sprendimas išvesti savo kariuomenę, buvus šalyje du dešimtmečius.

Nors šiuo metu nėra pakankamai duomenų, kad būtų galima tiksliai nustatyti nacionalinę valstybę, kuri remia „Harvester“ veiklą, tam tikri įrodymai, pavyzdžiui, grupės išpuoliai nėra finansiškai motyvuoti ir kelių specialiai sukurtų grasinimo priemonių naudojimas rodo, kad tai yra valstybė. - neabejotinai remiama kibernetinių nusikaltimų apranga.

Grėsmingas Arsenalas

Harvester APT naudoja tinkintų kenkėjiškų programų ir viešai prieinamų įrankių derinį, kad sukurtų užpakalines duris pažeistose mašinose ir iš jų gautų informaciją. Pradinis atakos vektorius, per kurį užpuolikai įsitvirtina tikslinėje organizacijoje, lieka nežinomas. Tačiau įsilaužėlių veikla po to buvo gana aiški.

Pirma, pažeistoje sistemoje jie įdiegia pasirinktinį atsisiuntimo programą. Tada kenkėjiška programa pristato naujos pakopos naudingąją apkrovą – tinkintą užpakalinių durų grėsmę, pavadintą Backdoor.Graphon . Taip pat buvo aptikta papildomų krovinių, susijusių su „Harvester“ atakomis. Tai apima tinkintą ekrano kopijų griebtuvą, „Cobalt Strike Beacon“ įrankį, kuriuo dažniausiai piktnaudžiauja kibernetiniai nusikaltėliai, ir „Metasploit“ – modulinę sistemą, kurią galima naudoti įvairiems įkyriems tikslams.

Išsami atakos informacija

Derindamas įdiegtas grėsmes, Harvester gali atlikti įvairius žalingus veiksmus. Jis gali užfiksuoti sistemos ekrano nuotraukas, kurios vėliau saugomos slaptažodžiu apsaugotame ZIP faile. Tada failas išfiltruojamas į operacijos komandų ir valdymo (C2, C&C) infrastruktūrą. Naudodami Cobalt Strike Beacon, kibernetiniai nusikaltėliai gali vykdyti savavališkas komandas, manipuliuoti failų sistema, rinkti failus, pradėti arba nutraukti procesus ir dar daugiau.

Kita vertus, „Metasploit“ leidžia jiems padidinti privilegijų eskalavimą, nustatyti užpakalinių durų, ekrano fiksavimo ir tt patvarumo mechanizmą. Norėdami paslėpti ryšį tarp įdiegtų grėsmių ir C2 serverių, „Harvesters“ bando sujungti neįprastą išeinantį srautą su įprastą pažeistos organizacijos tinklo srautą, panaudojant teisėtą „CloudFront“ ir „Microsoft“ infrastruktūrą.

Tendencijos

Labiausiai žiūrima

Įkeliama...